构建入侵检测系统（转)-liuhename-ChinaUnix博客

追求卓越

首页　| 　博文目录　| 　关于我

liuhename

博客访问： 475650
博文数量： 132
博客积分： 2995
博客等级：少校
技术积分： 1412
用户组：普通用户
注册时间： 2007-03-06 20:14

文章分类

全部博文（132）

VMWARE（1）
SECURITY（1）
ENGLISH（12）

NCE（2）

BEC（0）

daily（6）
MYSQL（16）
UNIX（73）

dns（2）

vpn（0）

php（2）

awstats（1）

other（9）

squid（2）

ssh（2）

aide（0）

diskless（0）

tcpserver（0）

tomcat（1）

rsync（2）

cacti（1）

mtrg（1）

swatch（1）

sudo（1）

shell（10）

ntp（1）

iptables（5）

nagios（0）

nat（1）

kernel（3）

ids（1）

ftp（3）

mail（10）

nfs（2）

apache（11）
MICROSOFT（6）
ORACLE（1）
CISCO（21）
未分配的博文（1）

文章存档

2010年（2）

2008年（21）

2007年（109）

我的朋友

最近访客

推荐博文

构建入侵检测系统（转)

分类：

2007-03-10 13:19:52

构建入侵检测系统（IDS）

Snort＋ACID

1．Snort简介
Snort 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP 网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。
它能够检测各种不同的攻击方式，对攻击进行实时报警。

2. 平台
# uname -a
FreeBSD 6.1-RELEASE /usr/obj/usr/src/sys/GENERIC i386
FreeBSD是financeWEB和KABU服务器使用最多的操作系统（还有一部分使用的linux操作系统），现在以FreeBSD操作系统为例，进行构建。

3. 所需要的软件（省略，下面会有介绍）

4. 安装FreeBSD 6.1（省略）

5. 安装最新的ports
login:root
password

1）Install cvsup-without-gui
#pkg_add -r cvsup-without-gui

2）安全设置
ee /etc/rc.conf
增加以下行：
sendmail_enable="NONE"
inetd_enable="NO"
ntpdate_flags="ntp6.space.net"
ntpdate_enable="YES"
ifconfig_fxp0="inet 10.5.3.199 netmask 255.255.255.0"
defaultrouter="10.5.3.50"
保存

ee /etc/ssh/sshd_config
只容许ssh协议2
#Protocol 2 －> Protocol 2
#PermitRootLogin no －> PermitRootLogin no
保存

ee /etc/ttys
拒绝单用户模式登录
console none unknown off secure －> console none unknown off insecure
保存

重启网络
/etc/netstart

3）安装最新的ports树
cp /usr/share/examples/cvsup/ports-supfile /etc/
cp /usr/share/examples/cvsup/stable-supfile /etc/

ee /etc/ports-supfile
*default host=CHANGE_THIS.FreeBSD.org －> *default host=cvsup5.FreeBSD.org
保存

ee /etc/stable-supfile
*default host=CHANGE_THIS.FreeBSD.org －> *default host=cvsup5.FreeBSD.org
在*default release=cvs tag=RELENG_6行上面增加：
*default release=cvs tag=RELENG_6_1
保存

mkdir /root/scripts
cd /root/scripts
ee ports-update.sh
#!/bin/sh
# updating port
echo "Beginning Ports Update"
/usr/local/bin/cvsup -g -L 2 /etc/ports-supfile
echo "Ports Update Complete"
保存

ee src-update.sh
#!/bin/sh
# updating source
echo "Beginning Source Update"
/usr/local/bin/cvsup -g -L 2 /etc/stable-supfile
echo "Source Update Complete"
保存

chmod +x *.sh
chmod 640 /etc/ports-supfile
chmod 640 /etc/stable-supfile

4）重建ports树并重新编译核心
/root/scripts/src-update.sh
cd /usr/src/sys/i386/conf
这时候你可以根据需要，修改文件：GENERIC，更改核心设备的设置等
cp GENERIC CUSTOM
vi CUSTOM
保存

5）为FreeBSD打最新的补丁：
mkdir /usr/patches
cd /usr/patches
fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:14/bzip2.patch
fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-05:14/bzip2.patch.asc
cd /usr/src
patch < /usr/patches/bzip2.patch
一路“回车”

6）打完补丁，开始重新编译系统：
# make buildworld
# make buildkernel KERNCONF=CUSTOM
# make installkernel KERNCONF=CUSTOM
# reboot

7）重启到loader时，输入boot -s，进入单用户模式：
# mergemaster -p
# make installworld
# mergemaster
# reboot

8）升级ports数：
sh /root/scripts/ports-update.sh

9）好了，系统更新已经完毕，现在让我们开始IDS旅行吧！！
FreeBSD下安装软件最好的方法莫过于使用ports，简单的不能再简单了，而且安装的内容一样都不差，只需在相应的目录打：make install，
这样freebsd自己去寻找并安装软件所需的库和各种支持文件。
我们上面已经有了一个软件列表：
Idled
Stunnel
Snort
Libpcap
MySQL (Server for the DB station)
Modphp 4
Adodb
Gd
Phplot
Apache13
ACID
我们只需要知道各个软件在ports下的哪个目录就行，其余的事情交给freebsd吧。

10）安装Idled
1. cd /usr/ports/sysutils/idled
2. make install clean
3. cd /usr/local/etc
4. cp idled.cf.template idled.cf
5. ee idled.d
#!/bin/sh
result_ps=`ps auxwww | grep idled | sed '/grep/d'`
if [ $result_ps -eq "" ]
then
/usr/local/libexec/idled -f /usr/local/etc/idled.cf
else
exit 0
fi
chmod 755 /etc/rc.d/idled.d
/etc/rc.d/inled.d
ps auxww | grep idled.d

11）安装ntp
pkg_add -r ntp
ee /etc/rc.conf
添加行：
ntpd_enable="YES"
保存

12）安装apache-modssl
cd /usr/ports/www/apache13-modssl
make
make certificate VIEW=1
make install clean

13）安装MySQL
cd /usr/ports/databases/mysql41-server/
make install clean
[可选]
cd /usr/ports/databases/mysql40-client/
make install clean

ee /etc/rc.conf
添加：
mysql_enable="YES"

安装完毕，初始化数据库权限表和用户表：
/usr/local/bin/mysql_install_dbcle
注：
如果以前安装了mysql，想覆盖安装：
make deinstall
make clean
rm /usr/local/bin/mysql*
rm /usr/bin/mysql*
make FORCE_PKG_REGISTER=yes reinstall
强制重新安装。

更改存放数据库文件夹的权限和所有人：
chown -R mysql /var/db/mysql/
chgrp -R mysql /var/db/mysql/

cp /usr/local/share/mysql/my-large.cnf /etc/my.cnf

启动数据库：
/usr/local/bin/mysqld_safe -user=mysql &

更改数据库用户root的密码：
/usr/local/bin/mysqladmin -u root password 123456
检测是否可以连接mysql服务器端。
/usr/local/bin/mysql -uroot -p123456

cd /usr/ports/security/snort/
make
cd /usr/ports/security/snort/work/snort-2.4.5/schemas

建一个库，名字叫snort，给root的权限为在本地可以select、insert数据库snort中的表：
echo “CEATE DATABASE snort; “| mysql –u root –p123456
mysql –u root –p123456
mysql> grant INSERT, SELECT on snort.* to snort@localhost identified by "123456";
Query OK, 0 rows affected (0.01sec)
mysql>exit

cd /usr/ports/security/snort/work/snort-2.4.5/schemas
/usr/local/bin/mysql -uroot -p123456 < ./create_mysql snort

12）安装APACHE, ACID, etc for SNORT
cd /usr/ports/www/apache13
make install clean

13）PHPMod安装：
cd /usr/ports/lang/php4
ee Makefile
CONFIGURE_ARGS= --enable-versioning \
--enable-memory-limit \
--with-layout=GNU \
--disable-all \
--with-pcre \
--enable-bcmath \
--enable-session \
--with-gd \
--with-mysql \
--with-zlib-dir=/usr \
--enable-sockets \\

保存

安装ADODB and Graphics Libraries
cd /usr/ports/databases/adodb && make install clean
cd /usr/ports/graphics/gd && make install clean
cd /usr/ports/graphics/phplot && make install clean

cd /usr/ports/lang/php4
install make clean

14）安装和配置ACID
acid可以分析snort截获的TCP, UDP, ICMP packets.
cd /usr/ports/security/snort
cd /usr/ports/security/acid && make install clean
会弹出一个对话框，选择perl，回车继续。

cd /usr/ports/security/acid && make install clean
chmod 644 /usr/local/www/acid/acid_conf.php
ee /usr/local/www/acid/acid_graph_form.php

阅读(741) | 评论(0) | 转发(0) |

上一篇：TcpDump安装设置

下一篇：sendmail转换qmail

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6